问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

华为三层交换机禁止VLAN间通讯的两种解决方案

创作时间:
作者:
@小白创作中心

华为三层交换机禁止VLAN间通讯的两种解决方案

引用
CSDN
1.
https://blog.csdn.net/WXDCSDN/article/details/143793150

在日常办公中,有时会禁止内网中各个部门间的访问,例如:

  1. 访客不能访问内网任何终端及服务器
  2. 财务部门不能被其他部门访问

实验环境:华为Ensp模拟器
内网架构:三层网络
环境说明:三层交换机承载着网关的作用,并且建立地址池提供DHCP服务
如下网络拓扑图:财务部和人事部分为两个VLAN
实验要求:人事和财务部之间不能互访

三层核心交换机配置

(配置接口类型,配置网关地址,配置地址池)

sys
sys CORE_SW_01
stp enable
dhcp enable
vlan batch 10 20
port-group 1
group-member g0/0/1 g0/0/2
p l t
p t a v a
q
ip pool 10
network 192.168.10.0 mask 24
gateway-list 192.168.10.1
dns-list 223.5.5.5
ip pool 20
network 192.168.20.0 mask 24
gateway-list 192.168.20.1
dns-list 223.5.5.5
int vlanif 10
ip add 192.168.10.1 24
dhcp select global
int vlanif 20
ip add 192.168.20.1 24
dhcp select global

汇聚交换机配置

(配置接口类型)

汇聚交换机1:

sys
sys CONVERGENCE_SW_01
stp enable
dhcp enable
vlan 10
port-group 1
group-member g0/0/1 g0/0/2 g0/0/24
p l t
p t a v a
q

汇聚交换机2:

sys
sys CONVERGENCE_SW_02
stp enable
dhcp enable
vlan 20
port-group 1
group-member g0/0/1 g0/0/2 g0/0/24
p l t
p t a v a
q

接入交换机配置

(配置接口类型)

接入交换机1:

sys
sys ACCESS_SW_01
stp enable
dhcp enable
vlan 10
int g0/0/2
p l t
p t a v a
int e0/0/1
p l a
p d v 10
q

接入交换机2:

sys
sys ACCESS_SW_02
stp enable
dhcp enable
vlan 10
int g0/0/2
p l t
p t a v a
int e0/0/1
p l a
p d v 10
q

接入交换机3:

sys
sys ACCESS_SW_03
stp enable
dhcp enable
vlan 20
int g0/0/2
p l t
p t a v a
int e0/0/1
p l a
p d v 20
q

接入交换机4:

sys
sys ACCESS_SW_04
stp enable
dhcp enable
vlan 20
int g0/0/2
p l t
p t a v a
int e0/0/1
p l a
p d v 20
q

打开终端设备,开启DHCP
查看获取的ip(PC1和PC2在一个网段,PC5和PC6在一个网段)
PC1pingPC2(同一个VLAN之间可ping通)
PC1pingPC5(不同VLAN之间也可ping通)

禁止VLAN10与VLAN20间通讯

首先要声明一个阻断两个VLAN间访问的ACL

acl 3001
rule 5 deny ip source 192.168.10.1 0.0.0.255 destination 192.168.20.1 0.0.0.255

两种方法实现:(都是使用流策略的方式)

方法一:流量过滤

traffic-filter vlan 10 inbound acl 3001

方法二:流量策略

traffic classifier c1 operator or
if-match acl 3001
q
traffic behavior b1
deny
q
traffic policy deny_con
classifier c1 behavior b1
q
vlan 10
traffic-policy deny_con inbound
q

命令执行后,发现VLAN间无法ping通
结论:两个方法均能禁止VLAN间的通信

网友总结:

  • traffic-filter主要侧重于流量的过滤
  • traffic-policy则主要侧重于流量的优化和控制
热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号